Масштабная кибератака зашифровала пользовательские данные 40 000 компьютеров

Международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей - компания ESET сообщила о проведении злоумышленниками масштабной кибератаки, целью которой было вымогательство денежных средств у пострадавших пользователей. Основным действующим компонентом атаки была ransomware инфекция троянец известный под наименованием TorrentLocker.

Технология его распространения была весьма стандартной: в фишинговых письмах рассылаемых по всему миру был вложен исполняемый файл, осуществляющий загрузку с удалённого сервера самого трояна. Исполняемый файл маскировался под документ Microsoft Office с макросом на языке Visual Basic, а вызываемый им троянец выполнял поиск и шифрование документов (более 230 различных типов файлов).  Шифрование файлов проводилось путем соединения потока ключа с целевыми файлами с помощью операции XOR.

За восстановление доступа к своим данным жертвам предлагалось заплатить $ 1500 в виртуальной криптовалюте Bitcoin. Стоит отметить, что для каждого желающего оплатить навязанную дешифровку создавался отдельный электронный кошелек.

На данный момент заработок киберпреступников составил порядка $ 600 000, т.е. с требованиями злоумышленников согласились порядка 4 сотен пострадавших пользователей. В общей сложности в ходе вредоносной кампании по всему миру было заражено около 40 000 компьютеров и зашифровано свыше 280 млн документов.

Исследователи  в области консалтинга по информационной безопасности из финской компании Nixu Watson отыскали способ расшифровать файлы, заблокированные TorrentLocker.  Для того чтобы восстановить утерянную информацию, пользователь должен иметь резервную копию хотя бы одного файла размером больше 2 Мб, поскольку вредонос использует один и тот же поток ключа во всех файлах при инфицировании системы.